CÁC KỸ THUẬT AN TOÀN - QUY TẮC THỰC HÀNH ĐỂ BẢO VỆ THÔNG TIN ĐỊNH DANH CÁ NHÂN (PII)TRÊN ĐÁM MÂY CÔNG CỘNG CÓ CHỨC NĂNG XỬ LÝ PII

Mục tiêu của tiêu chuẩn này khi được sử dụng kết hợp với các mục tiêu và biện pháp kiểm soát antoàn thông tin trong ISO/IEC 27002 sẽ tạo ra một nhóm các kiểu bảo mật và biện pháp kiểm so

Cấu trúc của tiêu chuẩn

Tiêu chuẩn này có cấu trúc tương tự ISO/IEC 27002; khi các mục tiêu và biện pháp kiểm soát được quy định trong ISO/IEC 27002 và áp dụng đầy đủ mà không cần thêm thông tin, chỉ có một tham khảo tới ISO/IEC 27002 Các biện pháp kiểm soát bổ sung và hướng dẫn thực hiện liên quan được áp dụng để bảo vệ PII đối với các nhà cung cấp dịch vụ điện toán đám mây và được mô tả trong Phụ lục A (quy định).

Khi các biện pháp kiểm soát đòi hỏi bổ sung hướng dẫn để bảo vệ PII cho các nhà cung cấp dịch vụ điện toán đám mây, nội dung này được đưa ra dưới tiêu đề “Hướng dẫn thực hiện bảo vệ PII đám mây công cộng” Trong một số trường hợp, thông tin liên quan để bổ sung được cung cấp dưới tiêu đề “Các thông tin khác để bảo vệ PII đám mây công cộng”.

Bảng 1 trình bày các hướng dẫn và thông tin cho từng lĩnh vực có trong các mục được định nghĩa của ISO/IEC 27002, giúp người đọc nắm bắt nhanh các yêu cầu kiểm soát và biện pháp bảo mật thông tin theo chuẩn này Các điều khoản được liên kết với các số mệnh đề tương ứng trong ISO/IEC 27002 như thể hiện trong bảng, cho phép tra cứu dễ dàng và tham chiếu chéo giữa các lĩnh vực đảm bảo an toàn thông tin.

Bảng 1 - Vị trí của hướng dẫn và thông tin các lĩnh vực cụ thể khác đối với việc thực hiện các biện pháp kiểm soát theo ISO/IEC 27002.

Số điều Nội dung Ghi chú khoản

5 Chính sách an toàn thông tin Cung cấp hướng dẫn thực hiện và các thông tin khác cho từng lĩnh vực

6 Tổ chức đảm bảo an toàn thông tin Cung cấp hướng dẫn thực hiện cho từng lĩnh vực

7 An toàn nguồn nhân lực Cung cấp hướng dẫn thực hiện và các thông tin khác cho từng lĩnh vực

8 Quản lý tài sản Không cung cấp thêm hướng dẫn thực hiện hoặc các thông tin khác cho từng lĩnh vực

9 Quản lý truy cập Cung cấp hướng dẫn thực hiện cho từng lĩnh vực, cùng với một tham chiếu chéo tới các biện pháp kiểm soát trong Phụ lục A

10 Mật mã hóa Cung cấp hướng dẫn thực hiện cho từng lĩnh vực

11 Đảm bảo an toàn vật lý và môi trường Cung cấp hướng dẫn thực hiện cho từng lĩnh vực, cùng với một tham chiếu chéo tới các biện pháp kiểm soát trong Phụ lục A

12 An toàn vận hành Cung cấp hướng dẫn thực hiện cho từng lĩnh vực

13 An toàn truyền thông Cung cấp hướng dẫn thực hiện cho từng lĩnh vực, cùng với một tham chiếu chéo tới các biện pháp kiểm soát trong Phụ lục A

14 Tiếp nhận, phát triển và duy trì các hệ thống thông tin

Không cung cấp thêm hướng dẫn thực hiện hoặc các thông tin khác cho từng lĩnh vực

15 Quan hệ với nhà cung cấp Không cung cấp thêm hướng dẫn thực hiện hoặc các thông tin khác cho từng lĩnh vực

16 Quản lý sự cố an toàn thông tin Cung cấp hướng dẫn thực hiện cho từng lĩnh vực

17 Các khía cạnh an toàn thông tin trong quản lý tính liên tục của hoạt động nghiệp vụ

Không cung cấp thêm hướng dẫn thực hiện hoặc các thông tin khác cho từng lĩnh vực

18 Sự tuân thủ Cung cấp hướng dẫn thực hiện cho từng lĩnh vực, cùng với một tham chiếu chéo tới các biện pháp kiểm soát trong Phụ lục A

Chỉ đạo quản lý về an toàn thông tin

Mục tiêu được xác định trong ISO/IEC 27002: 2013

5.1.1 Chính sách cho an toàn thông tin

ISO/IEC 27002 quy định các hướng dẫn thực hiện và các thông tin liên quan, tạo khung chuẩn cho quản lý an toàn thông tin Bên cạnh đó, các hướng dẫn chi tiết cho từng lĩnh vực cũng được áp dụng, giúp tổ chức triển khai thực thi một cách hiệu quả, nhất quán và phù hợp với điều kiện thực tế của từng lĩnh vực.

Hướng dẫn thực hiện bảo vệ PII đám mây công cộng

Chính sách an toàn thông tin nên được tăng cường bởi tuyên bố về việc hỗ trợ và cam kết để đạt được sự tuân thủ pháp luật bảo vệ PII hiện hành và các điều khoản hợp đồng đã được thỏa thuận giữa bên xử lý PII đám mây công cộng và khách hàng.

Các thỏa thuận hợp đồng nên phân bổ rõ ràng trách nhiệm giữa bên xử lý PII trong đám mây công cộng, nhà thầu phụ và khách hàng, có tính đến kiểu dịch vụ đám mây được đề cập trong kiến trúc tham chiếu (IaaS, PaaS hoặc SaaS) Ví dụ, phân bổ trách nhiệm kiểm soát ở lớp ứng dụng có thể khác nhau tùy thuộc vào việc bên xử lý PII cung cấp dịch vụ SaaS hay khách hàng tự xây dựng và triển khai các ứng dụng trên nền tảng PaaS hoặc IaaS.

Các thông tin khác về bảo vệ PII đám mây công cộng

Trong một số khu vực pháp lý, bên xử lý PII trong đám mây công cộng phải tuân thủ trực tiếp các quy định về bảo vệ PII, còn ở các khu vực khác, luật bảo vệ PII chỉ áp dụng cho bên kiểm soát dữ liệu PII.

Cơ chế để đảm bảo bên xử lý PII đám mây công cộng có nghĩa vụ hỗ trợ và quản lý sự tuân thủ được cung cấp bởi hợp đồng giữa khách hàng và bên xử lý PII đám mây công cộng Hợp đồng có thể phải tuân thủ các quy định kiểm toán độc lập đối với khách hàng thông qua việc thực hiện các biện pháp kiểm soát có liên quan trong tiêu chuẩn này và ISO/IEC 27002.

5.1.2 Soát xét chính sách an toàn thông tin Áp dụng hướng dẫn thực hiện có liên quan theo tiêu chuẩn ISO/IEC 27002.

6 Tổ chức đảm bảo an toàn thông tin

Tổ chức nội bộ

Áp dụng các mục tiêu xác định trong mục 6.1 ISO/IEC 27002: 2013.

6.1.1 Vai trò và trách nhiệm về đảm bảo an toàn thông tin

Các hướng dẫn thực hiện và các thông tin liên quan được quy định trong ISO/IEC 27002, đồng thời các hướng dẫn chi tiết cho từng lĩnh vực cũng được áp dụng nhằm tăng cường hiệu quả quản lý an ninh thông tin và đảm bảo tuân thủ tiêu chuẩn.

Bên xử lý PII đám mây công cộng sẽ chỉ ra đầu mối để khách hàng liên quan đến việc xử lý PII theo hợp đồng sử dụng.

Hướng dẫn thực hiện và các thông tin khác có liên quan được quy định trong ISO/IEC 27002.

6.1.3 Liên lạc với những cơ quan/tổ chức có thẩm quyền

6.1.4 Liên lạc với các nhóm chuyên gia

6.1.5 An toàn thông tin trong quản lý dự án Áp dụng hướng dẫn thực hiện có liên quan nêu trong ISO/IEC 27002.

Thiết bị di động và làm việc từ xa

Mục tiêu và nội dung được nêu cụ thể trong mục 6.2 ISO/IEC 27002:2013.

7 An toàn nguồn nhân lực

Trước khi tuyển dụng

Mục tiêu và nội dung được nêu cụ thể trong mục 7.1 ISO/IEC 27002: 2013.

Trong thời gian làm việc

Mục tiêu được xác định trong mục 7.2 ISO/IEC 27002: 2013.

7.2.1 Trách nhiệm của ban quản lý

7.2.2 Nhận thức, giáo dục và đào tạo về an toàn thông tin

Các hướng dẫn thực hiện và các thông tin liên quan được quy định trong ISO/IEC 27002, tạo khung tham chiếu cho quản trị an toàn thông tin Các chỉ dẫn cụ thể áp dụng cho từng lĩnh vực cũng được triển khai nhằm phù hợp với đặc thù và yêu cầu của từng bối cảnh, từ đó nâng cao hiệu quả bảo mật và tuân thủ tiêu chuẩn.

Để tăng cường an toàn dữ liệu và bảo vệ quyền riêng tư, cần triển khai các biện pháp giúp nhân viên liên quan nhận thức đầy đủ về hậu quả có thể xảy ra đối với bên xử lý PII trên đám mây công cộng (ví dụ như rủi ro pháp lý, mất mát dữ liệu và thiệt hại về thương hiệu và uy tín), đối với chính nhân viên (như kỷ luật hoặc xử lý vi phạm), và đối với chủ thể PII (hậu quả vật chất và tinh thần) khi vi phạm các quy tắc và thủ tục an toàn hoặc quyền riêng tư, đặc biệt liên quan tới quá trình xử lý PII.

Các thông tin khác về bảo vệ PII đám mây công cộng

Trong một số khu vực pháp lý, bên xử lý PII đám mây công cộng có thể bị xử phạt pháp lý, bao gồm cả tiền phạt trực tiếp từ cơ quan bảo vệ PII địa phương Các khu vực khác, việc sử dụng tiêu chuẩn như đã thiết lập trong hợp đồng giữa bên xử lý PII đám mây công cộng và khách hàng sẽ giúp thiết lập cơ sở cho các biện pháp trừng phạt theo hợp đồng vì vi phạm các quy tắc và thủ tục an toàn.

7.2.3 Xử lý kỷ luật Áp dụng hướng dẫn thực hiện có liên quan theo tiêu chuẩn ISO/IEC 27002.

Chấm dứt hoặc thay đổi công việc người lao động

Mục tiêu và nội dung được nêu cụ thể trong mục 8 ISO/IEC 27002: 2013.

Yêu cầu nghiệp vụ đối với quản lý truy cập

Quản lý truy cập người dùng

Mục tiêu được xác định trong mục 9.2 ISO/IEC 27002: 2013 Hướng dẫn cụ thể theo từng ngành cũng áp dụng cho việc thực hiện tất cả các biện pháp kiểm soát theo mục này (9.2).

Trong nội dung các loại dịch vụ của kiến trúc tham khảo điện toán đám mây, khách hàng có thể chịu trách nhiệm về một số hoặc tất cả các khía cạnh về việc quản lý truy cập đối với người sử dụng dịch vụ đám mây được kiểm soát Khi thích hợp, bên xử lý PII đám mây công cộng sẽ cho phép khách hàng quản lý quyền truy cập của người dùng dịch vụ đám mây dưới sự kiểm soát của khách hàng, chẳng hạn như bằng cách cung cấp quyền quản trị để quản lý hoặc chấm dứt quyền truy cập.

9.2.1 Đăng ký và xóa đăng ký người dùng

Hướng dẫn thực hiện và các thông tin khác có liên quan được quy định trong ISO/IEC 27002 Hướng dẫn cụ thể theo từng lĩnh vực cũng được áp dụng.

Thủ tục đăng ký và hủy đăng ký nên được thiết kế để xử lý nhanh các tình huống kiểm soát truy cập người dùng bị tổn hại, chẳng hạn như phá hoại hoặc xâm nhập vào mật khẩu hay dữ liệu đăng ký của người dùng khác do vô tình tiết lộ Các biện pháp bảo mật và khắc phục cần quy định rõ quy trình cảnh báo, khóa tài khoản tạm thời, khôi phục quyền truy cập và thông báo cho người dùng bị ảnh hưởng nhằm giảm thiểu thiệt hại và đảm bảo an toàn dữ liệu.

Chú thích: Các khu vực pháp lý khác nhau có thể đặt ra các yêu cầu cụ thể về tần suất kiểm tra các chứng chỉ xác thực không được sử dụng; các tổ chức hoạt động trong những khu vực này phải tuân thủ các yêu cầu đó để đảm bảo tuân thủ pháp lý và duy trì an toàn thông tin.

9.2.2 Cung cấp quyền truy cập người dùng

9.2.3 Quản lý đặc quyền truy cập

9.2.4 Quản lý các thông tin xác thực bí mật của người dùng

9.2.5 Soát xét các quyền truy cập người dùng

9.2.6 Hủy bỏ hoặc chỉnh sửa quyền truy cập

Trách nhiệm của người dùng

9.3.1 Sử dụng thông tin xác thực bí mật Áp dụng hướng dẫn thực hiện có liên quan theo tiêu chuẩn ISO/IEC 27002.

Quản lý truy cập vào hệ thống và ứng dụng

9.4.1 Hạn chế truy cập thông tin Áp dụng hướng dẫn thực hiện có liên quan theo tiêu chuẩn ISO/IEC 27002.

CHÚ THÍCH: Các biện pháp kiểm soát bổ sung và hướng dẫn liên quan đến hạn chế truy cập thông tin có thể được tìm thấy trong A.10.13.

9.4.2 Thủ tục đăng nhập an toàn

ISO/IEC 27002 quy định hướng dẫn thực hiện và các thông tin liên quan để quản trị an ninh thông tin một cách chuẩn mực, đồng thời áp dụng các hướng dẫn cụ thể theo từng lĩnh vực nhằm bảo đảm phù hợp với đặc thù từng môi trường hoạt động.

Hướng dẫn thực hiện bảo vệ PII đám mây công cộng:

Khi cần thiết, bên xử lý PII trong đám mây công cộng phải cung cấp thủ tục đăng nhập an toàn cho mọi tài khoản được khách hàng yêu cầu dành cho người dùng dịch vụ đám mây được kiểm soát Thủ tục này nên đảm bảo xác thực mạnh mẽ, kiểm soát truy cập và ghi nhận hoạt động nhằm bảo vệ thông tin cá nhân Việc cung cấp thủ tục đăng nhập an toàn giúp khách hàng yên tâm cấp quyền truy cập cho những người dùng được phép và tăng tính tuân thủ về bảo mật Các quy trình nên rõ ràng, dễ triển khai và có thể tích hợp với hệ thống quản lý danh tính để đảm bảo quyền truy cập đúng người đúng lúc.

9.4.3 Hệ thống quản lý mật khẩu

9.4.4 Sử dụng các chương trình tiện ích ưu tiên

9.5 Kiểm soát truy cập tới mã nguồn chương trình

Biện pháp kiểm soát mật mã hóa

10.1.1 Chính sách sử dụng các biện pháp kiểm soát mật mã

Đơn vị xử lý PII trên đám mây công cộng nên công khai các trường hợp sử dụng mật mã để bảo vệ dữ liệu PII mà họ xử lý cho khách hàng, đồng thời mô tả rõ các khả năng hỗ trợ khách hàng trong việc triển khai biện pháp mã hóa riêng Việc cung cấp thông tin chi tiết về các công cụ và dịch vụ bảo mật mật mã có sẵn sẽ giúp khách hàng hiểu cách áp dụng bảo vệ mật mã cho dữ liệu nhạy cảm, nâng cao an toàn thông tin và tuân thủ các yêu cầu bảo mật trên nền tảng đám mây.

Trong một số khu vực pháp lý, việc áp dụng mật mã để bảo vệ các loại PII cụ thể là bắt buộc, ví dụ như dữ liệu sức khỏe liên quan đến chủ thể PII, số đăng ký thường trú, số hộ chiếu và số giấy phép lái xe Việc mã hóa những thông tin nhạy cảm này giúp tăng cường bảo mật dữ liệu cá nhân, giảm nguy cơ rò rỉ và đảm bảo tuân thủ các quy định về bảo vệ dữ liệu hiện hành.

11 Đảm bảo an toàn vật lý và môi trường

Các khu vực an toàn

Thiết bị

11.2.1 Bố trí và bảo vệ thiết bị Áp dụng hướng dẫn thực hiện có liên quan theo tiêu chuẩn ISO/IEC 27002.

11.2.2 Các tiện ích hỗ trợ

11.2.3 An toàn các loại dây cáp

11.2.4 Bảo dưỡng thiết bị Áp dụng hướng dẫn thực hiện có liên quan theo tiêu chuẩn ISO/IEC 27002.

11.2.6 An toàn trang thiết bị và tài sản hoạt động bên ngoài trụ sở của tổ chức

11.2.7 An toàn khi loại bỏ hoặc tái sử dụng các thiết bị

Theo ISO/IEC 27002, các hướng dẫn thực hiện và các thông tin liên quan được quy định chi tiết, đồng thời hướng dẫn cụ thể theo từng lĩnh vực cũng được áp dụng để bảo đảm hiệu quả quản lý và tuân thủ an toàn thông tin.

Hướng dẫn thực hiện bảo vệ PII đám mây công cộng Để loại bỏ hoặc tái sử dụng an toàn, thiết bị chứa phương tiện lưu trữ có thể chứa PII phải được xử lý như là các thiết bị.

CHÚ THÍCH: Các biện pháp kiểm soát bổ sung và hướng dẫn liên quan đến việc loại bỏ hoặc tái sử dụng an toàn thiết bị có thể được tham khảo tại mục A.10.13.

11.2.8 Thiết bị người dùng không sử dụng Áp dụng hướng dẫn thực hiện có liên quan theo tiêu chuẩn ISO/IEC 27002.

11.2.9 Chính sách màn hình sạch và bàn làm việc sạch

Các trách nhiệm và thủ tục vận hành

12.1.1 Các thủ tục vận hành được ghi thành văn bản Áp dụng hướng dẫn thực hiện có liên quan theo tiêu chuẩn ISO/IEC 27002.

12.1.3 Quản lý năng lực hệ thống

12.1.4 Phân tách các môi trường phát triển, kiểm thử và vận hành

Hướng dẫn thực hiện và các thông tin liên quan được quy định trong ISO/IEC 27002, và đồng thời có các hướng dẫn cụ thể áp dụng theo từng lĩnh vực nhằm đảm bảo tính phù hợp và hiệu quả của quản lý bảo mật thông tin.

Trong trường hợp bắt buộc sử dụng PII cho mục đích thử nghiệm, cần tiến hành đánh giá rủi ro toàn diện để nhận diện các nguy cơ bảo mật và xâm phạm quyền riêng tư Cần thiết kế và áp dụng các biện pháp kiểm soát dữ liệu, xác định phạm vi dữ liệu được phép sử dụng, giới hạn truy cập và mã hóa thông tin; đồng thời thiết lập giám sát hoạt động và rà soát định kỳ nhằm giảm thiểu rủi ro Các đại lượng đo lường rủi ro và cơ chế tổ chức liên quan được triển khai để liên tục theo dõi, đánh giá và điều chỉnh biện pháp bảo vệ dữ liệu PII, đảm bảo tuân thủ các quy định về bảo mật và quyền riêng tư trong quá trình thử nghiệm.

Bảo vệ chống lại phần mềm độc hại

Sao lưu

Hướng dẫn thực hiện có liên quan được quy định trong ISO/IEC 27002 Hướng dẫn cụ thể theo từng lĩnh vực cũng được áp dụng.

Các hệ thống xử lý thông tin dựa trên mô hình điện toán đám mây cung cấp các cơ chế sao lưu bổ sung hoặc thay thế cho sao lưu ngoài nhằm bảo vệ dữ liệu khỏi mất mát, đảm bảo tính liên tục của hoạt động xử lý và củng cố khả năng phục hồi sau sự cố Để thực hiện điều này, cần tạo lập hoặc duy trì nhiều bản sao dữ liệu ở các vị trí khác nhau về mặt vật lý và/hoặc logic, có thể nằm trong chính hệ thống xử lý thông tin hoặc ở các địa điểm phân tán Những bản sao này phục vụ cho mục đích sao lưu và phục hồi, giúp giảm thiểu thời gian gián đoạn và tăng độ tin cậy của hạ tầng công nghệ thông tin.

Trong lĩnh vực này, nhiệm vụ cụ thể của PII gắn với khách hàng và phụ thuộc vào các dịch vụ được cung cấp Nếu bên xử lý PII công cộng cung cấp các dịch vụ sao lưu và khôi phục cho khách hàng, bên xử lý PII đám mây công cộng cần cung cấp thông tin rõ ràng cho khách hàng về khả năng của dịch vụ đám mây liên quan đến sao lưu và phục hồi dữ liệu của khách hàng.

Đối với các khu vực pháp lý riêng biệt, có thể có các yêu cầu cụ thể liên quan đến tần suất sao lưu dữ liệu Các tổ chức hoạt động trong các khu vực này cần đảm bảo tuân thủ đầy đủ các quy định về sao lưu và phục hồi dữ liệu nhằm đáp ứng yêu cầu pháp lý, đảm bảo an toàn thông tin và tối ưu hóa quy trình quản lý sao lưu của tổ chức.

Để khôi phục các hoạt động xử lý dữ liệu sau sự cố, các thủ tục khôi phục cần được thiết kế rõ ràng và công khai, xác định thời gian đáp ứng mục tiêu và các bước phục hồi theo thứ tự ưu tiên Việc ghi nhận thời gian khôi phục sau sự cố giúp theo dõi hiệu suất và đảm bảo hệ thống được đưa trở lại vận hành đúng lịch trình đã cam kết Kế hoạch phục hồi sau sự cố nên mô tả vai trò, trách nhiệm, nguồn lực và các mốc thời gian cụ thể cho từng giai đoạn, từ khôi phục dữ liệu đến khôi phục dịch vụ, nhằm giảm thiểu downtime và tối ưu hoá sự liên tục của hoạt động kinh doanh.

Các thủ tục sao lưu và khôi phục phải được soát xét một cách cụ thể và được lập tài liệu tần suất.

Chú thích: Trong các khu vực pháp lý riêng biệt có thể áp đặt các yêu cầu cụ thể liên quan đến tần suất đánh giá thủ tục sao lưu và phục hồi Các tổ chức hoạt động trong những khu vực này phải bảo đảm tuân thủ các yêu cầu đó bằng cách thiết lập lịch đánh giá định kỳ, theo dõi sự tuân thủ và cập nhật liên tục các chính sách cùng quy trình sao lưu và phục hồi dữ liệu để đảm bảo an toàn và khả năng phục hồi nhanh chóng.

Việc sử dụng các nhà thầu phụ để lưu trữ các bản sao hoặc sao lưu dự phòng dữ liệu được xử lý bởi các biện pháp kiểm soát trong tiêu chuẩn này, áp dụng cho việc xử lý hợp đồng phụ PII Trường hợp phương tiện truyền thông vật lý xảy ra việc này cũng được bao gồm bởi các biện pháp kiểm soát trong tiêu chuẩn này.

Bên xử lý PII đám mây công cộng nên có chính sách giải quyết các yêu cầu về sao lưu thông tin và bất kỳ yêu cầu nào khác (ví dụ: hợp đồng và/hoặc yêu cầu pháp lý) đối với việc xóa thông tin cá nhân (PII) có trong thông tin được lưu giữ nhằm mục đích sao lưu.

Nhật ký và giám sát

12.4.1 Ghi nhật ký sự kiện

Các hướng dẫn thực hiện và các thông tin liên quan được quy định trong chuẩn ISO/IEC 27002, đồng thời có thể áp dụng các chỉ dẫn chi tiết theo từng lĩnh vực để phù hợp với đặc thù và nhu cầu quản trị an toàn thông tin của từng tổ chức.

Cần thiết thiết lập một quy trình kiểm tra định kỳ các bản ghi sự kiện nhằm giám sát hoạt động của hệ thống và đảm bảo tính toàn vẹn của dữ liệu Quá trình này giúp phát hiện kịp thời các bất thường và sự cố, từ đó cung cấp căn cứ để đề xuất các biện pháp khắc phục phù hợp Quy trình nên có các bước rõ ràng như thu thập log sự kiện, phân tích và phân loại sự kiện, đánh giá mức độ rủi ro và lập báo cáo khuyến nghị Việc thực thi định kỳ quy trình này sẽ tăng cường an ninh thông tin, cải thiện khả năng phát hiện xâm nhập và nâng cao hiệu quả vận hành hệ thống.

Khi có nhiều nhà cung cấp cùng tham gia cung cấp các dịch vụ khác nhau của kiến trúc tham chiếu điện toán đám mây, các vai trò có thể được điều chỉnh, chia sẻ hoặc phối hợp giữa các bên trong quá trình thực thi hướng dẫn này Sự phân chia trách nhiệm phụ thuộc vào phạm vi dịch vụ và cấu trúc kiến trúc tham chiếu, nhằm đảm bảo tính tương thích, an toàn và tuân thủ chuẩn công nghệ Việc hợp tác và giao tiếp rõ ràng giữa các nhà cung cấp giúp tối ưu hoá triển khai, vận hành và bảo trì hệ thống đám mây theo các bước đề cập trong hướng dẫn.

Bên xử lý PII đám mây công cộng nên xác định các tiêu chí liên quan đến việc khi nào và bằng cách nào thông tin nhật ký có thể được cung cấp hoặc sử dụng bởi khách hàng Các thủ tục này cần được cung cấp cho khách hàng.

Khi một khách hàng được phép truy cập vào các hồ sơ đăng nhập được kiểm soát bởi bên xử lý PII đám mây công cộng, bên xử lý PII đám mây công cộng phải đảm bảo rằng khách hàng chỉ có thể truy cập các hồ sơ có liên quan đến hoạt động của họ và không thể truy cập tới bất kỳ bản ghi nào liên quan đến hoạt động của khách hàng khác.

12.4.2 Bảo vệ các thông tin nhật ký

ISO/IEC 27002 quy định đầy đủ các hướng dẫn thực hiện và các thông tin liên quan, đồng thời áp dụng các hướng dẫn chi tiết theo từng lĩnh vực nhằm đảm bảo triển khai hiệu quả và nhất quán trong quản lý an toàn thông tin.

Thông tin nhật ký được ghi nhằm phục vụ cho các mục đích như giám sát an toàn và dự đoán hoạt động, và có thể chứa thông tin cá nhân Các đại lượng đo, chẳng hạn như kiểm soát truy cập (xem 9.2.3), nên được đưa ra để đảm bảo rằng thông tin đăng nhập chỉ được sử dụng cho các mục đích đã định.

Một thủ tục tốt nhất là tự động nên được đưa ra để đảm bảo rằng các thông tin đăng nhập sẽ bị xóa trong thời gian quy định.

12.4.3 Nhật ký quản trị và điều hành

Quản lý các phần mềm điều hành

Quản lý các lỗ hổng kỹ thuật

Xem xét đánh giá các hệ thống thông tin

Quản lý an toàn mạng

An toàn truyền tải thông tin

13.2.1 Các chính sách và thủ tục truyền tải thông tin

Khi sử dụng phương tiện vật lý để truyền thông tin, cần triển khai một hệ thống ghi nhận và ghi chép đầy đủ các thông tin liên quan đến phương tiện đó, bao gồm loại phương tiện, người gửi/người nhận được ủy quyền, ngày giờ và số hiệu phương tiện chứa PII Việc lưu trữ có cấu trúc giúp quản lý rủi ro liên quan đến dữ liệu nhạy cảm và tuân thủ bảo mật Khi có thể, khách hàng nên được đề nghị áp dụng các biện pháp bảo mật tại chỗ, ví dụ như mã hóa dữ liệu, để đảm bảo dữ liệu chỉ có thể truy cập tại điểm cuối và không bị truy cập được trên đường truyền.

13.2.2 Các thỏa thuận truyền tải thông tin

13.2.4 Bảo mật hoặc không tiết lộ các thỏa thuận

Lưu ý: Các biện pháp kiểm soát bổ sung và các hướng dẫn liên quan đến các thỏa thuận giữ bí mật hoặc không tiết lộ có thể được tìm thấy trong mục A.10.1.

14 Tiếp nhận, phát triển và duy trì các hệ thống thông tin

15 Quan hệ với nhà cung cấp

CHÚ THÍCH: Thông tin thêm về việc quản lý mối quan hệ với nhà cung cấp có thể được lấy từ ISO/IEC 27036-4.

16 Quản lý sự cố an toàn thông tin

Quản lý các sự cố an toàn thông tin và cải tiến

Hướng dẫn thực hiện và các thông tin liên quan được quy định trong ISO/IEC 27002, và các hướng dẫn chi tiết theo từng lĩnh vực cũng được áp dụng để triển khai toàn bộ các biện pháp kiểm soát theo mục 16.1.

Trong phạm vi kiến trúc tham khảo điện toán đám mây, vai trò quản lý và cải tiến sự cố an toàn thông tin được phân bổ và phối hợp giữa các bên liên quan nhằm tăng cường khả năng ứng phó và phòng ngừa Bên xử lý PII trên đám mây công cộng có thể được huy động để hợp tác với khách hàng trong việc thực hiện các kiểm soát bảo mật và các biện pháp ứng phó sự cố liên quan đến dữ liệu cá nhân Việc này giúp tuân thủ bảo mật dữ liệu, cải thiện kiểm soát rủi ro và nâng cao hiệu quả quản lý sự cố trong môi trường đám mây công cộng.

16.1.1 Trách nhiệm và thủ tục

Trong khuôn khổ ISO/IEC 27002, các hướng dẫn thực hiện và các thông tin liên quan được quy định đầy đủ, đồng thời có các chỉ dẫn cụ thể theo từng lĩnh vực được áp dụng nhằm đảm bảo quản trị an toàn thông tin hiệu quả và nhất quán.

Sự cố an toàn thông tin nên bắt đầu soát xét bởi bên xử lý PII đám mây công cộng, như một phần của quy trình quản lý sự cố an toàn thông tin, để xác định xem có vi phạm dữ liệu liên quan đến PII hay không (xem A.9.1).

Một sự kiện an toàn thông tin không bắt buộc phải là một cuộc kiểm tra Thực chất, đó là dấu hiệu cho thấy hoặc không có kết quả thực tế, hoặc có xác suất đáng kể của việc truy cập trái phép vào PII hoặc vào bất kỳ thiết bị/phương tiện lưu trữ PII nào của bên xử lý PII trên đám mây công cộng Các sự kiện này có thể bao gồm tấn công ping và các cuộc tấn công quảng bá khác nhắm tới tường lửa hoặc máy chủ biên, quét cổng, cố gắng đăng nhập không thành công, các cuộc tấn công từ chối dịch vụ và chặn bắt gói tin.

16.1.2 Báo cáo các sự kiện an toàn thông tin.

16.1.3 Báo cáo các điểm yếu an toàn thông tin

16.1.4 Đánh giá và quyết định về sự kiện an toàn thông tin Áp dụng hướng dẫn thực hiện có liên quan theo tiêu chuẩn ISO/IEC 27002.

16.1.5 Ứng phó với các sự cố an toàn thông tin

16.1.6 Rút ra bài học kinh nghiệm từ các sự cố an toàn thông tin

17 Các khía cạnh an toàn thông tin trong quản lý tính liên tục của hoạt động nghiệp vụ

Sự tuân thủ các quy định pháp lý

CHÚ THÍCH: Các biện pháp kiểm soát bổ sung và hướng dẫn liên quan đến việc tuân thủ các yêu cầu pháp lý và hợp đồng có thể được tìm thấy trong A.11.

Soát xét an toàn thông tin

18.2.1 Soát xét độc lập về an toàn thông tin

ISO/IEC 27002 quy định hướng dẫn thực hiện và các thông tin liên quan đến quản lý an ninh thông tin, đồng thời áp dụng các hướng dẫn chi tiết theo từng lĩnh vực để đảm bảo sự nhất quán, hiệu quả và tuân thủ các nguyên tắc bảo mật trên toàn tổ chức.

Trong trường hợp kiểm toán khách hàng cá nhân là không thực tế hoặc có thể làm tăng nguy cơ bảo mật (xem 0.1), bên xử lý PII đám mây công cộng sẽ cung cấp cho khách hàng bằng chứng độc lập về an toàn thông tin được triển khai và vận hành theo các chính sách và thủ tục của bên xử lý PII đám mây công cộng trước khi tham gia và trong suốt thời gian hợp đồng Các kiểm toán độc lập liên quan do bên xử lý PII đám mây công cộng lựa chọn thường là một phương pháp chấp nhận được nhằm đáp ứng quyền lợi của khách hàng trong việc xem xét các hoạt động xử lý của bên xử lý PII đám mây công cộng, đảm bảo tính minh bạch được cung cấp đầy đủ.

18.2.2 Sự tuân thủ các chính sách an toàn và các tiêu chuẩn

18.2.3 Soát xét tuân thủ kỹ thuật

Bộ quy tắc bảo vệ thông tin cá nhân mở rộng áp dụng cho bên xử lý dữ liệu cá nhân trên đám mây công cộng

Phụ lục này nêu rõ các biện pháp kiểm soát mới và hướng dẫn thực hiện, được kết hợp với các biện pháp kiểm soát tăng cường và hướng dẫn trong ISO/IEC 27002 (xem các mục 5 đến 18) để hình thành một biện pháp kiểm soát mở rộng, nhằm đáp ứng yêu cầu bảo vệ PII cho các nhà cung cấp dịch vụ đám mây công cộng đóng vai trò là bộ xử lý PII.

Các biện pháp kiểm soát bổ sung được phân loại dựa trên 11 nguyên tắc bảo mật của ISO/IEC 29100 nhằm đảm bảo tính nhất quán trong quản lý bảo mật dữ liệu Trong nhiều trường hợp, một kiểm soát có thể liên quan đến nhiều nguyên tắc bảo mật khác nhau, nhưng sẽ được phân loại theo nguyên tắc phù hợp nhất với ngữ cảnh và mục tiêu bảo vệ dữ liệu.

A.1 Sự chấp thuận và sự lựa chọn

A.1.1 Sự tuân thủ hợp tác liên quan đến quyền của chủ thể PII

Đơn vị xử lý dữ liệu PII trên nền tảng đám mây công cộng phải cung cấp cho khách hàng các công cụ và cơ chế cần thiết để họ có thể thực hiện đầy đủ quyền của chủ thể dữ liệu, bao gồm quyền truy cập, chỉnh sửa và/hoặc xóa thông tin cá nhân liên quan đến họ, nhằm tạo thuận lợi cho quá trình quản lý dữ liệu và bảo vệ quyền riêng tư của cá nhân.

Nghĩa vụ của bên kiểm soát PII trong ngữ cảnh này có thể được xác định bởi luật pháp, các quy định hoặc bằng hợp đồng Sự tuân thủ này có thể bao gồm những vấn đề như khi khách hàng sử dụng dịch vụ của bên xử lý PII đám mây công cộng để triển khai Ví dụ việc sửa đổi hoặc xóa PII một cách kịp thời.

Trường hợp bên kiểm soát PII phụ thuộc vào bên xử lý PII đám mây công cộng về thông tin hoặc các biện pháp kỹ thuật để tạo thuận lợi cho việc thực hiện các quyền của chủ thể PII, các thông tin liên quan hoặc biện pháp kỹ thuật cần được quy định cụ thể trong hợp đồng.

A.2 Mục đích của việc hợp pháp và đặc tả

A.2.1 Mục đích của bên xử lý PII đám mây công cộng

PII không được xử lý cho bất kỳ mục đích nào khác với hướng dẫn của khách hàng.

Các hướng dẫn có thể nằm trong hợp đồng giữa bên xử lý PII đám mây công cộng và khách hàng ví dụ như mục tiêu và khung thời gian mà dịch vụ phải đạt được. Để đạt được mục đích của khách hàng có thể có các lý do tại sao kỹ thuật thích hợp cho bên xử lý PII đám mây công cộng trong việc xác định phương pháp xử lý PII, phù hợp với hướng dẫn chung của khách hàng nhưng không có hướng dẫn rõ ràng Ví dụ, để sử dụng mạng hoặc khả năng xử lý có hiệu quả cần thiết phải phân bổ các nguồn lực xử lý cụ thể phụ thuộc vào một số đặc điểm của chủ thể PII. Trong trường hợp khi quyết định của bên xử lý PII đám mây công cộng đối với phương pháp xử lý liên quan đến việc thu thập và sử dụng PII, bên xử lý PII đám mây công cộng phải tuân thủ các nguyên tắc bảo mật có liên quan được nêu trong ISO/IEC 29100.

Bên xử lý PII đám mây công cộng sẽ cung cấp cho khách hàng tất cả các thông tin liên quan một cách kịp thời để cho phép khách hàng đảm bảo sự tuân thủ của bên xử lý PII đám mây công cộng với mục đích rõ ràng và các nguyên tắc hạn chế, đồng thời đảm bảo rằng không có PII nào được xử lý bởi bên xử lý PII đám mây công cộng hoặc bất kỳ nhà thầu phụ nào cho các mục đích khác không phụ thuộc vào hướng dẫn của khách hàng.

A.2.2 Việc sử dụng cho mục đích thương mại của bên xử lý PII đám mây công cộng

PII được xử lý theo hợp đồng và không nên được sử dụng cho mục đích tiếp thị hoặc quảng cáo bởi bên xử lý PII trên nền tảng đám mây công cộng khi không có sự đồng ý rõ ràng của chủ sở hữu dữ liệu Thỏa thuận như vậy không phải là điều kiện để tiếp nhận dịch vụ.

Biện pháp kiểm soát này đóng vai trò bổ sung cho biện pháp kiểm soát tổng quát hơn được nêu ở A.2.1 và không thay thế cũng như không được xem là sự thay thế cho biện pháp ở A.2.1 theo bất kỳ cách nào.

Không có các biện pháp kiểm soát bổ sung liên quan đến nguyên tắc bảo mật này.

A.4.1 Xóa an toàn các tập tin tạm thời

Các tập tin và tài liệu tạm thời phải được xoá hoặc hủy bỏ trong một khoảng thời gian cụ thể sau khi được ghi chép.

Hướng dẫn thực hiện việc xóa PII được cung cấp trong A.10.11.

Trong quá trình hoạt động bình thường, hệ thống thông tin có thể tạo ra các tệp tạm thời dành cho hệ thống hoặc ứng dụng, bao gồm nhật ký phục hồi và các tệp liên quan đến cập nhật cơ sở dữ liệu cũng như hoạt động của các phần mềm ứng dụng khác Những tệp tạm thời này không còn cần thiết sau khi xử lý dữ liệu đã hoàn tất, nhưng vẫn có nhiều trường hợp không thể xóa bỏ Thời gian tồn tại của chúng không phải lúc nào cũng được xác định, do đó quy trình thu gom rác cần nhận diện các tệp liên quan và xác định thời gian sử dụng dựa trên lần truy cập cuối.

Hệ thống xử lý thông tin PII cần thực hiện kiểm tra định kỳ đối với các tập tin tạm thời không được sử dụng; khi các tập tin này đạt ngưỡng tuổi được chỉ định, chúng sẽ bị xóa tự động Việc quản lý tập tin tạm thời giúp giảm rủi ro bảo mật dữ liệu nhạy cảm, tối ưu hóa lưu trữ và đảm bảo tuân thủ các yêu cầu bảo vệ thông tin cá nhân Dọn dẹp tự động các tập tin tạm thời là yếu tố then chốt để duy trì hiệu suất hệ thống và an toàn cho dữ liệu PII.

A.5 Giới hạn sử dụng, lưu giữ và tiết lộ

A.5.1 Thông báo tiết lộ thông tin

Hợp đồng giữa bên xử lý PII đám mây công cộng và khách hàng nên yêu cầu bên xử lý PII đám mây công cộng thông báo cho khách hàng bất kỳ yêu cầu ràng buộc về mặt pháp lý nào đối với việc tiết lộ PII bởi một cơ quan thực thi pháp luật, trừ khi việc tiết lộ đó bị ngăn cấm trong bất kỳ thủ tục và khoảng thời gian nào được đồng ý trong hợp đồng.

Bên xử lý PII đám mây công cộng phải cung cấp hợp đồng bảo đảm sẽ từ chối bất kỳ yêu cầu tiết lộ PII nào không ràng buộc về mặt pháp lý, tham khảo ý kiến khách hàng hợp pháp tương ứng trước khi tiết lộ PII và chấp nhận bất kỳ yêu cầu thông tin cá nhân nào bởi khách hàng đó.

Một ví dụ về việc cấm tiết lộ có thể là một lệnh cấm theo luật hình sự để bảo vệ tính bí mật của cuộc điều tra.

Định dạng
Số trang	35
Dung lượng	314 KB